당신의 집에 반드시 강도가 든다면, 뭐가 달라질까?세상은 크게 두 종류의 기업 : 해킹을 당했거나 당하고 모르거나
할렘가 방탄유리와 네트워크 방어의 아날로지
[보안뉴스 문가용] 우린 문을 잠그고, 경보 시스템을 설치하고, 창문을 보강하는 등 언제 들어올지 모르는 강도를 막기 위해 노력을 기울인다. 그런데 강도가 ‘반드시’ 들어오는 걸 안다면 뭐가 달라질까? 문만 단단히 잠그고 창문을 철로 만들면 끝일까? 아마도 ‘진짜 들어온다’는 걸 알면 이렇게 외곽만 단단히 잠그지 않을 것이다. 도둑이 훔쳐갈 만한 물건들도 일찌감치 치워놓고 자료도 백업해놓는 등 내용물 자체에 대한 조치를 보다 확실하게 취할 것이 분명하다.
사이버 보안 전문가들은 기업들을 크게 두 종류로 나눈다. 해킹을 당한 회사와 해킹을 당해놓고도 모르는 회사. 사이버 범죄라는 게 생긴 이후로 보안은 거의 항상 ‘방지’에 초점을 맞췄다. 방화벽을 두텁게 쌓고, 스캐너의 시력이 날이 갈수록 좋아졌다. 블랙리스트는 점점 길어지고 화이트리스트는 더 상세해졌다. 하지만 그만큼 위협과 공격도 성장을 거듭했고 공격의 방식 또한 늘어났으며 기술의 발전과 기기의 발명은 아직까지 보안보다는 공격에 더 많은 기회를 제공하고 있다. 모든 공격을 다 ‘방지’할 수 없다는 사실을 인정할 때가 된 것이다.
까놓고 말하자면 현실은 이렇다. 우리 모두는 해킹을 이미 당했거나, 당하고 있는 중이거나, 곧 당할 예정이다. 이런 현실 속에서 ‘방지’가 의미가 없는 것은 아니겠으나, 사후처리 즉 피해규모를 줄이고 사건 재발을 방지하는 노력 역시 중요할 수밖에 없다. 유출이 될 거라는 걸 사실로 받아들이고 그에 맞는 준비를 해야 한다는 것이다. 그러므로 더 빠르게 탐지하고 더 빠르게 잘못된 걸 수정하고 고칠 수 있는 법에 대한 연구도 필요하다.
게다가 최근 해킹 공격이란 APT, 즉 상당히 오랜 기간 피해 시스템 혹은 네트워크에 머물면서 이루어진다. 즉 ‘시간’이란 요소가 개입되는 유형의 공격이 주를 이루며, 그렇기에 빨리 탐지하고 빨리 조치를 취하는 것 자체가 잘못된 방향의 ‘사이버 보안’이 아니다. 그 자체로 피해를 줄이는 것이다. 방지의 측면에서 방어에서 사후대처에 대한 측면에서의 방어로 패러다임을 바꿔야 하는 이유다.
다시 이야기를 처음으로 돌려보자. 당신이 새로 이사 간 동네가 매우 위험한 할렘지역이라고 치자. 대낮에도 누군가 창문을 깨고 들어오고, 하루에도 몇 번씩 알 수 없는 사람들이 문고리를 흔들다가 사라진다. 그렇다면 당신은 어떤 행동을 취할까? 잠금장치를 늘리고 창문 유리를 방탄유리로 갈아 낄지도 모르겠다. 그리고 평소 집안에 어떤 물건이 어디에 있는지도 외우거나 최소한 어딘가에 적어놓을 것이다. 그래야 뭐가 없어졌는지 금방 알아채고, 누군가 들어왔다 나갔다는 사실을 빨리 깨달아 추가 범죄를 막을 수 있으니까 말이다. 조금 더 적극적이라면 심지어 눈에 잘 띄지 않는 덫을 설치해 범인을 붙잡고자 할 지도 모르겠다.
사이버 보안도 이와 크게 다르지 않다. 그래야 할 이유가 없다. 여러 솔루션과 툴들은 잠금장치나 방범창과 같다. 이들은 누군가의 공격에 가장 먼저 반응을 하고 이상한 현상들을 알려준다. 가장 단순한 방법으로 들어오는 강도들을 가장 최전선에서 막아주는 것들이다. 하지만 또한 조금 센 바람에도 비슷한 반응을 보인다. 우박이 부딪히는 소리와 누군가 유리를 깨부수려는 소리도 언뜻 들으면 비슷하다.
그렇다면 다음 보안전략은 창문에서 나는 소리가 침입자에 의한 것인지 거센 소나기가 지나가는 소리인지를 구분해내는 방법을 고안하는 것이 된다. 네트워크 환경에서라면 방화벽이나 백신 등에서 나오는 경보들 중 진짜와 가짜를 구별할 줄 알아야 한다는 것인데, 이는 엔드포인트에서 시작하는 게 좋다. 왜냐하면 보통 공격이 제일 먼저 일어나는 게 바로 이 엔드포인트이기 때문이다. 창문 비유로 치면 귀로 소리의 구분이 어려울 때 창문가로 직접 가서 눈으로 확인하면 된다는 것이다
엔드포인트에서 미리 설정한 여러 ‘침입 징후 상황’에 대입해서 현재 발동된 경보가 실제로 위험한 것인지를 ‘직접 눈으로’ 확인하는 게 한 예가 될 수 있다. 더 조심스럽다면, 경보가 발동된 엔드포인트를 먼저 분리시키고 나서 확인 작업을 하는 것도 좋은 방법이다. 그렇게 확인했을 때 누군가 방탄유리를 돌로 치고 있는 상황이라면 경찰에 전화를 한다거나 겁을 주거나 중요한 물품/사람을 다른 곳으로 피신시키는 조치를 취할 수 있게 되는 것과 같다.
사실 ‘방지보다는 탐지’라는 논조로 글을 작성했지만, 난 둘 다 필요하다고 생각하는 편이다. 방지할 수 있다면 최대한 방지하는 게 좋다. 아예 사건이 일어나지 않으면, 그것보다 완벽한 방어는 없다. 하지만 뭐든지 막을 수 있다는 생각은 자칫 지나친 낙관주의로 이어질 수 있다. 현실은 분명 ‘해킹은 반드시 일어난다’라고 하는데, 이를 마냥 무시할 수만도 없는 것이다. 그러므로 자신감 넘치는 방어막이 뚫렸을 때 또한 대비하는 것이 보다 완벽하고 철저한 방어법이다.
글 : 마이클 센토나스(Michael Sentonas)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
